ビジネス詐欺（請求書偽装など）の予防と初動

巧妙化するビジネスメール詐欺（BEC）の実態

• 取引先や自社の経営層になりすまし、偽の送金指示や請求書の差し替えを行う詐欺が急増している。
• 単なる迷惑メールとは異なり、実際の取引の流れや担当者名を把握した上で、適切なタイミングで「振込先口座が変更になった」という連絡を差し込んでくる。
• 盗み出した本物のメールスレッドに返信する形で送られてくるため、視覚的な違和感だけで見抜くのは極めて困難である。
• 狙われるのは大企業だけでなく、チェック体制が属人化しやすいSOHOや個人事業主も格好の標的となる。

請求書偽装を見抜くチェックポイント

• 振込先変更の急な通知: 「社内規定の変更」や「銀行口座の不具合」を理由に、PDFの請求書の振込先だけを書き換えて送ってくる手法に警戒する。
• ドメインの微細な違い: 送信元アドレスのアルファベットが1文字だけ違う、あるいは末尾が「.co.jp」ではなく「.net」になっているなど、偽装ドメインを確認する。
• 不自然な緊急性の強調: 「本日中の送金が必要」「これが遅れると契約が破棄される」など、担当者を焦らせて確認手順を省略させようとする文面に注意する。
• 返信先（Reply-To）の設定: 表示上の送信元は本物でも、返信先が全く別のフリーメールアドレス等に設定されていないかをチェックする。

詐欺を未然に防ぐ「運用ルール」

• 「二段階承認」の徹底: 振込先情報の変更依頼があった際は、メールだけで完結させず、必ず「電話」や「チャット」など別の経路で担当者に事実確認を行う。
• 電子署名の活用: 請求書のPDFに電子署名を付与し、改ざんが行われていないことを証明する仕組みを導入する。
• 振込先登録の固定化: 銀行の振込先リストにあらかじめ登録された口座以外への送金が必要になった際は、上長や第三者のダブルチェックを必須とする。
• 過去の履歴との照合: 毎回送られてくる請求書のレイアウト、フォント、ロゴの解像度などが、過去のものと微妙に異なっていないか比較する習慣をつける。

詐欺に気づいた・送金してしまった時の初動

• 直ちに銀行へ連絡: 送金直後であれば、組戻し（振込の取り消し）ができる可能性がある。一刻を争うため、警察より先にまず銀行へ連絡すべきだ。
• 取引先への事実確認: 相手側のメールアカウントが乗っ取られている可能性が高いため、電話などの安全な手段で被害を共有し、二次被害を防ぐ。
• 証拠の保全: 届いたメール、書き換えられた請求書、ヘッダー情報などを消去せず、そのままの状態で保存する。後の警察の捜査や保険請求に必要となる。
• 公的機関への通報: 都道府県警察のサイバー犯罪相談窓口や、IPA（情報処理推進機構）へ報告し、アドバイスを受ける。

組織としての継続的な対策

• インシデントの共有: 実際に届いた不審なメールの事例をチーム内で共有し、全員の警戒レベルを底上げする。
• サイバー保険の検討: 万が一、送金被害に遭った際のリスクをカバーするため、ビジネスメール詐欺も補償対象に含まれるサイバー保険への加入を検討する。